Experti zo spoločnosti Kaspersky Lab nedávno objavili modifikáciu Trojana Svpeng, ktorý sa ukrýval v reklamnej sieti Google AdSense. Zachytený bol v polovičke júla a odvtedy infikoval viac ako 300 tisíc používateľov Android zariadení, pričom denné maximum dosiahlo v niektorých prípadoch až 37 tisíc obetí.
Tento trójsky kôň sa zameriava prevažne na klientov mobilného bankovníctva s cieľom ukradnúť údaje z kariet a osobné dáta používateľov. Útočníci v tomto prípade využili chybu v prehliadači Google Chrome, s ktorej pomocou infikovali sieť. Teraz, keď už Google uskutočnil potrebné opatrenia a opravil chybu, sa experti z Kaspersky Lab môžu naplno venovať podrobnému vyšetrovaniu tohto útoku.
Prvý známy prípad škodlivej aktivity Trojana Svpeng bol zverejnený v polovici júla tohto roku ruským spravodajským portálom. Pri tomto útoku, Svpeng v tichosti sám prenikol do Android zariadení návštevníkov určitej webovej stránky.
Pri podrobnej analýze celého procesu zistili výskumníci z Kaspersky Lab, že celú aktivitu spustila infikovaná reklama v Google AdSense. Táto reklama navonok nevykazovala známky škodlivej aktivity a na neinfikovaných stránkach sa zobrazovala úplne normálne. K sťahovaniu nebezpečného Trojana došlo až v momente, keď používatelia Android zariadení otvorili stránku v prehliadači Chrome. Svpeng sa navonok javil ako dôležitá aktualizácia prehliadača alebo obľúbenej aplikácie, ktorá od používateľa požadovala schválenie inštalácie. Hneď po spustení malvéru, zmizol Svpeng zo zoznamu inštalovaných aplikácií a následne žiadal používateľa o administrátorské práva pre dané zariadenie. A práve tento postup zaručil malvéru takmer nerušený priebeh a výskumníkom skomplikoval jeho detekciu.
Sprvoti sa zdalo, že útočníkom sa podarilo nájsť spôsob, ako obísť bezpečnostné prvky prehliadača Google Chrome pre Android zariadenia. V štandardných prípadoch prehliadač vždy pri sťahovaní APK súboru do mobilného zariadenia cez externý webový link zobrazí upozornenie, že sťahovaný objekt môže predstavovať potenciálne nebezpečenstvo. V tomto prípade však podvodníci našli bezpečnostnú dieru, ktorá umožnila APK súboru sťahovanie bez akejkoľvek notifikácie upozorňujúcej používateľa. Spoločnosť Kaspersky Lab v momente, keď odhalila túto chybu, reportovala svoje zistenia spoločnosti Google. Tá okamžite uskutočnila patričné opatrenia, najbližšie aktualizácie Google Chrome pre Android už budú obsahovať aj náplasti na tieto diery.
„Tento prípad opäť potvrdil význam spolupráce medzi jednotlivými firmami. Spája nás spoločný cieľ, ktorým je ochrana používateľov pred kybernetickými útokmi a je skutočne dôležité, aby sme pracovali spoločne na jeho dosiahnutí. Teší nás, že sme aj my mohli prispieť k tomu, aby bol ekosystém Androidu ešte bezpečnejší a radi by sme vyjadrili vďaku spoločnosti Google za jej rýchlu reakciu na naše zistenia. V tomto boji je však dôležitá angažovanosť aj zo strany používateľov – minimálne tým, že nebudú sťahovať aplikácie z nedôveryhodných zdrojov a pozorne čítať všetky výzvy na udelenie súhlasu,” vyjadril sa Nikita Buchka, malvérový analytik v spoločnosti Kaspersky Lab.
V tejto súvislosti odporúčajú experti z Kaspersky Lab všetkým používateľom aktualizovať Chrome vo svojich Android zariadeniach na poslednú verziu, inštalovať účinné bezpečnostné riešenia, a rovnako byť na pozore pred nástrojmi a technikami používanými tvorcami malvérov, ktorých cieľom je ich presvedčiť k inštalácií škodlivých softvérov a udeleniu falošných povolení.
Svpeng je typ trójskeho koňa, ktorý napáda služby mobilného bankovníctva s cieľom zmocniť sa údajov z bankových kariet. Zbiera tiež informácie z histórie hovorov, textových a multimediálnych správ, údajov z prehliadača a kontaktov. Aj keď útočí prevažne na obete z rusky hovoriacich krajín, jeho zámerom je rozšíriť svoje škodlivé aktivity do celého sveta. Práve kvôli špecifickej povahe distribúcie tohto malvéru sú v ohrození milióny webových stránok, keďže mnohé z nich využívajú AdSense na zobrazovanie reklamy.
Experti z Kaspersky Lab detekovali malvér Svpeng v tejto modifikácii: Trojan-Banker.AndroidOS.Svpeng.q
